Megosztás a következőn keresztül:

  • Cikk

Az SSL-titkosítások konfigurálása

 

Közzétett: 2016. március

Érvényes: System Center 2012 R2 Operations Manager, System Center 2012 - Operations Manager, System Center 2012 SP1 - Operations Manager

A System Center 2012 – Operations Manager az alapértelmezett SSL-rejtjelkonfiguráció módosítása nélkül helyesen kezeli a UNIX és a Linux rendszerű számítógépeket. A legtöbb szervezet számára elfogadható az alapértelmezett konfiguráció, de azt javasoljuk, hogy a szervezet biztonsági házirendjében tekintse meg, hogy van-e szükség változtatásokra.

Az SSL-rejtjelkonfiguráció használata

Az Operations Manager UNIX- és Linux-ügynök az Operations Manager felügyeleti kiszolgálóval való kommunikáció során az 1270-es porton fogadja a kéréseket, és azokra elküldi a szükséges információkat. A kérések a WS-felügyeleti protokoll használatával jönnek létre, amely SSL-kapcsolaton fut.

Amikor az egyes kérésekhez első alkalommal létesül SSL-kapcsolat, a szabványos SSL protokoll egyezteti a használandó kapcsolat titkosítási algoritmusát, más nével rejtjelét. Az Operations Manager rendszerhez a felügyeleti kiszolgáló az egyeztetés során mindig erős rejtjelet igényel annak érdekében, hogy a felügyeleti kiszolgáló és a UNIX vagy Linux rendszerű számítógép közötti kapcsolat erős titkosítást használjon.

A UNIX vagy Linux rendszerű számítógépen az alapértelmezett SSL-rejtjelkonfigurációt az az SSL-csomag határozza meg, amelyet az operációs rendszer részeként telepített. Az SSL-rejtjelkonfiguráció általában számos különböző rejtjel használatát támogatja a kapcsolathoz, ideértve a kevésbé erős, régebbi rejtjeleket is. Az Operations Manager ugyan nem használja ezeket a gyengébb rejtjeleket, azonban a gyengébb rejtjelek használatát támogató 1270-es port meg van nyitva, ami esetleg ellenkezik egyes szervezetek biztonsági házirendjével.

Ha az alapértelmezett SSL-rejtjelkonfiguráció megfelel a szervezet biztonsági házirendjének, akkor semmit nem kell tennie.

Ha az alapértelmezett SSL-rejtjelkonfiguráció nem felel meg a szervezet biztonsági házirendjének, akkor az Operations Manager UNIX- és Linux-ügynöke olyan konfigurációs beállítást biztosít, amellyel megadhatók azok a rejtjelek, amelyeket az SSL elfogadhat az 1270-es porton keresztül. Ez a beállítás a rejtjelek vezérlésére, illetve az SSL-konfigurációnak a házirendekkel történő egyeztetéséhez használható. Miután az Operations Manager UNIX- és Linux-ügynököt telepítette minden számítógépre, a konfigurációs beállítást meg kell adni a következő részben leírtaknak megfelelően. Az Operations Manager nem rendelkezik automatikus vagy beépített módszerrel a konfiguráció alkalmazásához, ezért az egyes szervezeteknek a számukra legmegfelelőbb külső mechanizmust kell használniuk a konfiguráláshoz.

Az sslCipherSuite konfigurációs beállítás megadása a System Center 2012 R2 rendszerben

Az 1270-es port SSL-rejtjeleit az OMI konfigurációs fájl (omiserver.conf) sslciphersuite beállításával adhatja meg. Az omiserver.conf fájl a /etc/opt/microsoft/scx/conf/ könyvtárban található.

A fájlban az sslciphersuite beállítás formátuma a következő:

sslciphersuite=<cipher spec>

ahol <cipher spec> megadja az engedélyezett és a letiltott rejtjeleket, és azt a sorrendet, amely szerint a rendszer az engedélyezett rejtjelek közül választ.

A <cipher spec> formátuma megegyezik az Apache HTTP Server 2.0-s verziójában az sslCipherSuite beállítás formátumával. További tudnivalók: SSLCipherSuite irányelv, Apache-dokumentáció. Ezen webhely összes információját a webhely tulajdonosa vagy annak felhasználói bocsátották rendelkezésre. A Microsoft nem vállal semmilyen kifejezett vagy vélelmezett felelősséget a webhelyen található információkért.

Az sslCipherSuite konfigurációs beállítás megadása után indítsa újra a UNIX- és a Linux-ügynököt, hogy a módosítás életbe lépjen. A UNIX- és a Linux-ügynök újraindításához futtassa a /etc/opt/microsoft/scx/bin/tools könyvtárban található következő parancsot.

. setup.sh
scxadmin -restart

Az sslCipherSuite konfigurációs beállítás megadása a System Center 2012 SP1 és a System Center 2012 rendszerben

Az 1270-es port SSL-rejtjelei az scxcimconfig parancs használatával beállítható sslCipherSuite beállítással vezérelhető. A parancs az Operations Manager UNIX- és Linux-ügynök /etc/opt/microsoft/scx/bin/tools könyvtárba való telepítésének részeként lett telepítve. A teljes súgó megtekintéséhez a parancssorba írja be az alábbi parancsot.

scxcimconfig –-help

Az sslCipherSuite konfigurációs beállítás megadásához tekintse meg az alábbi, jellemző szintaktikával rendelkező parancsot.

scxcimconfig –s sslCipherSuite='<cipher spec>' –p

ahol <cipher spec> megadja az engedélyezett és a letiltott rejtjeleket, és azt a sorrendet, amely szerint a rendszer az engedélyezett rejtjelek közül választ.

A <cipher spec> formátuma megegyezik az Apache HTTP Server 2.0-s verziójában az sslCipherSuite beállítás formátumával. További tudnivalók: SSLCipherSuite irányelv, Apache-dokumentáció. Ezen webhely összes információját a webhely tulajdonosa vagy annak felhasználói bocsátották rendelkezésre. A Microsoft nem vállal semmilyen kifejezett vagy vélelmezett felelősséget a webhelyen található információkért.

Az sslCipherSuite konfigurációs beállítás megadása után indítsa újra a UNIX- és a Linux-ügynököt, hogy a módosítás életbe lépjen. A UNIX- és a Linux-ügynök újraindításához futtassa a következő parancsot, amely szintén a /etc/opt/microsoft/scx/bin/tools könyvtárban található.

scxadmin -restart